美国制裁云服务商Funnull:最大“杀猪盘”诈骗源头

美国政府制裁菲律宾云服务商Funnull,该公司为虚拟货币投资诈骗“杀猪盘”提供基础设施支持,导致美国受害者损失超2亿美元,涉及亚马逊和微软云服务滥用。

美国制裁云服务商“Funnull”作为“杀猪盘”诈骗最大源头

2025年5月29日,美国政府对菲律宾公司Funnull Technology Inc.实施经济制裁。该公司为数十万个涉及虚拟货币投资诈骗(称为“杀猪盘”)的网站提供计算机基础设施。2025年1月,KrebsOnSecurity详细报道了Funnull如何被用作内容分发网络(CDN),为寻求通过美国云提供商路由流量的网络犯罪分子提供服务。

美国财政部在声明中表示:“美国人每年因这些网络诈骗损失数十亿美元,2024年这些犯罪收入创下历史新高。”Funnull及其40岁的中国管理员刘立志(Liu Lizhi)受到制裁。“Funnull直接促成了多项此类计划,导致美国受害者报告的损失超过2亿美元。”

财政部称,Funnull的操作与联邦调查局(FBI)报告的大多数虚拟货币投资诈骗网站有关。该机构表示,Funnull直接促成了“杀猪盘”及其他骗局,导致美国人经济损失超过2亿美元。

“杀猪盘”是一种猖獗的欺诈形式,人们被网上调情的陌生人引诱投资欺诈性加密货币交易平台。受害者被指导向看似极其盈利的交易平台投入越来越多资金,直到想要提现时才发现资金消失。

骗子通常坚持要求投资者支付加密“收益”的额外“税款”才能再次看到投资资金(剧透:他们从未看到),惊人数量的人通过这些“杀猪盘”骗局损失了六位数或更多资金。

KrebsOnSecurity 2025年1月关于Funnull的报道基于安全公司Silent Push的研究,该公司在2024年10月发现,通过Funnull托管的大量域名在推广带有太阳城集团标志的赌博网站。太阳城集团是中国实体,在2024年联合国报告(PDF)中被指名为朝鲜国家支持的黑客组织Lazarus洗钱数百万美元。

Silent Push发现Funnull是一个犯罪内容分发网络(CDN),承载大量与诈骗网站相关的流量,通过一系列令人眼花缭乱的自动生成域名和美国云提供商 funnel 流量,然后重定向到恶意或钓鱼网站。FBI发布了2023年10月至2025年4月用于管理恶意Funnull域名基础设施的技术报告(PDF)。

Silent Push在2025年1月重新审视Funnull的基础设施,发现Funnull仍在使用许多相同的亚马逊和微软云互联网地址,这些地址在其10月报告中被识别为恶意。亚马逊和微软均承诺在报道后清除其网络中的Funnull存在,但据Silent Push的Zach Edwards称,只有一家公司跟进。

Edwards表示,Silent Push不再看到微软互联网地址出现在Funnull的基础设施中,而亚马逊继续努力移除Funnull服务器,包括一个似乎首次出现在2023年的服务器。

“亚马逊做得很糟糕——自从他们在我们的公开博客中向您和我们做出这些声明以来,每天都有IP地址仍映射到Funnull,包括一些莫名其妙长时间保持映射的地址,”Edwards说。

亚马逊表示,其亚马逊网络服务(AWS)托管平台积极打击滥用尝试。

“今年我们已经阻止了数百次与该组织相关的尝试,我们正在调查您今天早些时候分享的信息,”亚马逊分享的声明中写道。“如果任何人怀疑AWS资源被用于滥用活动,可以通过此处滥用报告表格向AWS信任与安全部门报告。”

美国云提供商仍然是网络犯罪组织有吸引力的基地,因为许多组织不会过度积极地阻止来自美国云网络的流量,这样做可能导致阻止访问同一共享网络段或主机上的许多合法网站目的地。

此外,funnel 不良流量使其看起来来自美国云互联网提供商,允许网络犯罪分子从地理上更接近其目标和受害者的网络地址连接网站(例如,绕过银行基于位置的安全控制)。

Funnull不是本月唯一受到制裁的网络犯罪基础设施即服务提供商:2025年5月20日,欧盟对Stark Industries Solutions实施制裁,该ISP在俄罗斯入侵乌克兰之初出现,并被用作全球代理网络,隐藏针对俄罗斯敌人的网络攻击和虚假信息活动的真实来源。

2024年5月,KrebsOnSecurity发布了对Stark Industries Solutions的深入报道,发现穿越Stark网络的大部分恶意流量(例如漏洞扫描和密码暴力攻击)通过美国云提供商反弹。我的报道显示了Stark如何深度渗透美国ISP,并且其联合创始人多年来销售“防弹”托管服务,告诉俄罗斯网络犯罪论坛客户,他们会自豪地忽略任何滥用投诉或警方询问。

该报道考察了Stark联合创始人、摩尔多瓦兄弟Ivan和Yuri Neculiti的历史,他们各自否认过去参与网络犯罪或当前参与协助俄罗斯虚假信息努力或网络攻击。尽管如此,欧盟也对两兄弟实施了制裁。

欧盟表示,Stark和Neculti兄弟“通过提供旨在隐藏这些活动免受欧洲执法和安全机构发现的服务,使各种俄罗斯国家支持和国家附属行为者能够进行破坏稳定的活动,包括协调信息操纵和干扰以及针对欧盟和第三国的网络攻击。”

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次